Al confiar en la CA raíz, usted confía en su juicio sobre a quién firman. Mientras la CA intermedia sea válida, no se revoque, y confía en la CA raíz ... la cadena siempre se verificará. Otras aplicaciones (como FireFox) pueden agregar comprobaciones y funciones adicionales para buscar certificados intermedios no confiables, pero a menos que la aplicación lo proporcione, en realidad no es parte de la especificación SSL / TLS.
Para eliminar las CA raíz de confianza, puede realizar lo siguiente:
update-ca-certificates
actualiza /etc/ssl/certs
leyendo el /etc/ca-certicates.conf
. /etc/ca-certificates.conf
se genera automáticamente ejecutando sudo dpkg-reconfigure ca-certificates
.
Esto abrirá un comando GUI.
- En el primer aviso, tiene la opción de decir Sí / No / Solicitar nuevos certificados. Haga clic en Preguntar
- Ahora recibirás una gran lista de CA con un
*
al lado. Vaya a la lista y elimine las CA que desee presionando spacebar
. El *
será eliminado.
- Cuando hayas terminado, presiona
Enter
.
- Esto debería activar la actualización de
/etc/ssl/certs
. Las CA que ha eliminado deben aparecer en el símbolo del sistema.
Si no ves algo como esto:
Processing triggers for ca-certificates ...
Updating certificates in /etc/ssl/certs... 0 added, 1 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Removing debian:A-Trust-nQual-03.pem
done.
done.
Luego, ejecutaría sudo update-ca-certificates
para garantizar que /etc/ssl/certs
se actualice correctamente.
Realicé todo esto en un sistema basado en Debian.